三星多个代码泄密,包括SmartThings敏感的源代码、证书和密钥!
2023-03-28 00:44:02
5月9日,据美国科技媒体TechCrunch报道,一名信息安全研究员近期发现,三星工程师使用的一个开发平台泄露了多个内部项目,包括三星SmartThings敏感的源代码、证书和密钥。
三星数十个自主编码项目出现在旗下Vandev Lab的GitLab实例中。该实例被三星员工用于分享并贡献各种应用、服务和项目的代码。由于这些项目被设置为公开,同时没有受到密码的保护,因此任何人都可以查看项目,获取并下载源代码,从而导致绝密信息泄露。
迪拜信息安全公司SpiderSilk的安全研究员莫撒布·胡赛因(Mossab Hussein)发现了这些泄露的文件。他表示,某个项目包含的证书允许访问正在使用的整个AWS帐号,包括100多个S3存储单元,其中保存了日志和分析数据。
他指出,许多文件夹包含三星SmartThings和Bixby服务的日志和分析数据,以及几名员工以明文保存的私有GitLab令牌。这使得他可以额外获得42个公开项目,以及多个私有项目的访问权限。
三星回应称,其中一些文件是用于测试的,但胡赛因对此提出质疑。他表示,在GitLab代码仓库中发现的源代码与4月10日在Google Play上发布的Android应用包含的代码相同。这款应用随后又有过升级,到目前为止的安装量已经超过1亿多次。
胡赛因说:我获得了一名用户的私有令牌,该用户可以完全访问GitLab上的所有135个项目。因此,他可以使用该员工的帐号去修改代码。
胡赛因还提供了多张屏幕截图和视频作为证据。泄露的GitLab实例中还包括三星SmartThings的iOS和Android应用的私有证书。
三星发言人扎克·杜根(Zach Dugan)表示:最近,一位个人安全研究员报告说,我们一个测试平台的安全奖励计划存在漏洞。我们迅速撤销了其报告测试平台的所有密钥和凭证,虽然我们尚未找到任何外部访问的证据,但我们目前正在对此进行进一步调查。
侯赛因称,三星的数据泄露是他迄今最大的发现。他说:我还没有见过这么大的一家公司使用这种奇怪的做法来处理他们的基础设施。
无锡治白癜风更好的医院湘潭做人流手术正规的医院
廊坊专门人流手术医院排行榜
南昌哪家治甲状腺的医院好
- 台湾开发出自动化挤压铸造机太白粉电缆附件白砂糖压铸产品石油焦Trp
- 船舶涂料增加合作需求天门电机配件德语培训挂锁皮革机床Trp
- 如何分辨白卡纸质量的好坏宁德条码设备钢尺电饭煲铰链Trp
- 中国印刷机制造商在国际市场表现卓越无油轴承工艺合作吊具分歧管俱乐部Trp
- 2006年美国盒用纸板需求剧增界面剂精密冲床磁带音频周边汽车保养Trp
- 郑州云天展览装饰有限公司兰溪熔锡炉精密注塑液压油缸电镀镍板Trp
- 海虹老人推出新型防火涂料Hempafir制氢设备钣金件低合金板度假村办公礼品Trp
- 品质厦工获得非洲津巴布韦副总统首肯0桦甸小型车陶瓷岩泡沫机鲟鱼养殖Trp
- SGQXM上牵引旋转多层共挤吹塑薄膜生产蚀刻机扼流圈炼胶机墨盒镇尺起重机链Trp
- 奥迪正式加入FormulaE纯电方程式赛钻探工具显卡魔豆筒袜普通电视Trp
- 解析安装电气火灾监控系统的必要性电解电容聚硫橡胶香精白水晶螺丝钉Trp
- 罐头行业发展将拉动马口铁旺盛需求粒度仪膜复合机线材加工装配工具热熔断器TRp